¿Si un usuario cambia la contraseña, debería invalidar todas las claves API?

Question

¿Si un usuario cambia la contraseña, debería invalidar todas las claves API?

#1 de Sirens (1 votos)

4

Cuando un usuario cambia su contraseña, esto obligará a todos los usuarios que hayan iniciado sesión en el sitio web a través de cookies a ser forzados a iniciar sesión nuevamente. Sin embargo, hay una aplicación móvil que inicia sesión en el usuario a través de la clave API. La clave API también recupera los datos del usuario. Esto no se efectúa cambiando las contraseñas. El usuario todavía puede eliminar la clave API en sus configuraciones para evitar que el usuario acceda a más datos en la aplicación móvil. ¿El hecho de cambiar las contraseñas también invalida todas las claves de la API?

passwords password-reset api

pregunta Curt Rand 04.02.2018 - 19:39

fuente

1 respuesta

Lea otras preguntas en las etiquetas passwords password-reset api

Configuración del número de teléfono para seguridad ¿Cómo puedo confirmar que soy vulnerable al “rootpipe” de OS X (CVE-2015-1130)?

score 1 · Accepted Answer

Me voy con no, con la advertencia de que se debe pedir al usuario que restablezca su clave API inmediatamente después de cambiar su contraseña. Esto es más un problema de equilibrio de seguridad / UX que uno técnico.

Por lo general, un token de API se instalará en un script en algún lugar, probablemente no sea accesible en este momento. Dependiendo de los datos que tenga en el sitio, incluso podría ser tan importante que la falta de acceso a la API podría causar algunos problemas importantes. Para colmo, es posible que el usuario ni siquiera cambie sus contraseñas debido a un supuesto compromiso, sino simplemente a una rotación estándar. Cambio mis contraseñas con regularidad, pero no roto las claves de mi API porque no se encuentran en dispositivos móviles que pueden ser comprometidos mucho más fácilmente que mi servidor bloqueado.

Por todas estas razones, no creo que un restablecimiento de clave obligatorio sea razonable. Si la información es muy secreta (PII, dinero, etc.), entonces podría salirse con la suya con que restablezca su clave para finalizar, pero realmente con cualquier otra cosa, no creo que valga la pena para el usuario.